Muhstik es un malware que ataca aplicaciones de mensajería, como Apache RocketMQ, para infectar sistemas vulnerables. Aprovechando fallas de seguridad, este malware se introduce en los sistemas, afectando especialmente dispositivos IoT y servidores basados en Linux. Una vez dentro, puede ser utilizado para actividades maliciosas como la minería de criptomonedas y la realización de ataques DDoS. Muhstik se ha identificado en varias campañas de ciberataques, mostrando habilidades avanzadas para evadir la detección y mantener persistencia en los sistemas comprometidos.

Funcionamiento:

El malware Muhstik es una amenaza persistente y multifacética que ha estado activa desde al menos 2017, dirigéndose principalmente a dispositivos IoT y servidores basados en Linux. Su funcionamiento involucra varias fases y técnicas avanzadas para explotar vulnerabilidades, mantenerse en el sistema, evadir detecciones y realizar actividades maliciosas. A continuación se describe su funcionamiento de manera técnica y detallada.

1. Acceso Inicial

1.1. Exploración y Explotación de Vulnerabilidades

Muhstik se introduce en los sistemas mediante la explotación de vulnerabilidades conocidas. En el caso reciente, Muhstik aprovechó la vulnerabilidad de ejecución remota de código (CVE-2023-33246) en Apache RocketMQ. Esta vulnerabilidad permite a los atacantes acceder a componentes críticos de RocketMQ, como NameServer, Broker y Controller, sin requerir autenticación, lo que les permite ejecutar comandos maliciosos en el sistema.

1.2. Carga Maliciosa

Una vez identificada y explotada la vulnerabilidad, los atacantes inician una solicitud de actualización del archivo de configuración del broker RocketMQ. Esto incluye:

  • filterServerNums: Se actualiza a un valor mayor que 0 para activar el método callShell, permitiendo la ejecución de comandos del sistema.
  • rocketmqHome: Define el directorio principal del usuario donde se almacena la carga útil, que luego se puede ejecutar.

2. Ejecución del Malware

2.1. Descarga del Malware

Después de modificar el archivo de configuración, se utiliza el comando curl para descargar el script de shell malicioso 3sh desde un servidor remoto. Este script descarga múltiples archivos binarios maliciosos, les otorga permisos de ejecución y los ejecuta.

2.2. Ejecución del Script Malicioso

El script de shell verifica la disponibilidad de comandos como wget o curl en la máquina comprometida y, según la disponibilidad, descarga los binarios correspondientes:

El script incluye instrucciones para modificar los permisos de los archivos descargados, haciéndolos ejecutables solo para el propietario, y luego ejecuta estos archivos para iniciar el malware.

3. Persistencia

3.1. Copiado y Ejecución

El binario malicioso pty3, identificado como Muhstik, se copia en múltiples directorios:

  • /dev/shm/pty3
  • /var/tmp/pty3
  • /run/lock/pty3
  • /run/pty3

3.2. Modificación del Archivo de Configuración

Muhstik modifica el archivo de configuración inittab para asegurarse de que el proceso se reinicie automáticamente:

Este cambio garantiza que el malware se ejecute automáticamente tras reinicios del sistema o cuando el proceso se detiene.

4. Evasión de Defensa

4.1. Empaquetado y Ocultamiento

El malware utiliza técnicas de empaquetado para cambiar la firma del archivo y evitar la detección basada en firmas. Se guarda con nombres que aparentan ser legítimos (pty3) y opera desde directorios temporales para dificultar su detección.

4.2. Operación en Memoria

Muhstik ejecuta su código directamente desde la memoria o directorios temporales, lo que le permite evadir escáneres basados en archivos tradicionales y otras medidas de seguridad que dependen de la presencia de archivos en el sistema de archivos.

5. Descubrimiento y Recolección de Información

5.1. Recolección de Información del Sistema

El malware utiliza comandos como uname para obtener detalles del sistema:

Esta información se transmite a través de un canal IRC para que los atacantes comprendan mejor el entorno comprometido.

5.2. Verificación de Herramientas de Monitoreo

Muhstik comprueba si herramientas de red como strace y tcpdump están presentes utilizando el comando pidof, enviando los resultados a /dev/null:

Esto le permite evaluar la postura de seguridad del sistema y ajustar sus operaciones para minimizar la detección.

6. Movimiento Lateral

6.1. Escaneo y Autenticación SSH

El malware realiza escaneos en busca de servicios SSH y trata de autenticarse en otras máquinas usando credenciales predeterminadas o robadas. Esto facilita la propagación lateral dentro de la red comprometida.

7. Comando y Control (C2)

7.1. Configuración del Servidor IRC

Muhstik se comunica con un servidor de comando y control (C2) a través de IRC, usando el dominio malicioso identificado:

El tráfico IRC incluye comandos PING y PONG para mantener la conexión activa y recibir comandos desde el servidor C2.

7.2. Sesión IRC

Durante la sesión IRC, el cliente establece su apodo y envía comandos cifrados al servidor, que los decodifica y ejecuta:

Estos comandos suelen incluir instrucciones para eliminar procesos de seguridad o iniciar ataques.

Impacto y Consecuencias:

El impacto y las consecuencias de Muhstik en un entorno comprometido pueden ser devastadores, afectando tanto a la seguridad como a la funcionalidad del sistema. A continuación se presenta una descripción técnica y detallada del impacto y las consecuencias de este malware.

1. Interrupción del Servicio

1.1. Ataques DDoS

Muhstik puede ejecutar ataques de Denegación de Servicio Distribuida (DDoS), lo que puede:

  • Saturar el Ancho de Banda: Generar tráfico excesivo que consume el ancho de banda disponible, impidiendo el acceso legítimo.
  • Sobrecarga de Servidores: Agotar los recursos del servidor objetivo, haciéndolo inoperante.
  • Interrupción del Servicio: Provocar interrupciones significativas en servicios críticos, afectando la disponibilidad de aplicaciones y sitios web.

2. Pérdida de Recursos Computacionales

2.1. Criptominería No Autorizada

Muhstik utiliza los recursos de la máquina comprometida para minar criptomonedas, lo que causa:

  • Uso Intensivo de CPU y GPU: Reducción del rendimiento del sistema debido a la utilización intensiva de los recursos.
  • Aumento del Consumo de Energía: Incremento significativo en el consumo de energía eléctrica, resultando en mayores costos operativos.
  • Desgaste del Hardware: Aceleración del desgaste del hardware debido a la carga constante y excesiva, disminuyendo su vida útil.

3. Pérdida de Datos y Privacidad

3.1. Recolección de Información Sensible

Muhstik puede recolectar información crítica del sistema y transmitirla a servidores controlados por atacantes:

  • Credenciales de Acceso: Robo de nombres de usuario y contraseñas que pueden ser utilizados para otros ataques.
  • Información del Sistema: Detalles sobre la configuración del sistema, aplicaciones instaladas y red, que pueden ayudar a planificar ataques más específicos.

4. Propagación a Otros Sistemas

4.1. Movimiento Lateral

El malware tiene capacidades de escaneo y autenticación SSH, lo que permite:

  • Compromiso de Múltiples Sistemas: Muhstik puede propagarse a través de la red, comprometiendo otros dispositivos y servidores.
  • Ampliación del Impacto: Aumenta el alcance del ataque, afectando más sistemas y datos dentro de la organización.

5. Evasión de Seguridad y Persistencia

5.1. Resistencia a la Eliminación

Muhstik se asegura persistencia en el sistema mediante la modificación de archivos de configuración, como inittab, lo que:

  • Dificulta la Eliminación: Requiere pasos adicionales para la eliminación completa del malware.
  • Reinicio Automático: Incluso después de la detección y eliminación manual, el malware puede reiniciarse automáticamente.

6. Consecuencias Económicas

6.1. Costos Directos

  • Reparación y Recuperación: Gastos en servicios de respuesta a incidentes y recuperación de sistemas.
  • Pérdida de Ingresos: Interrupciones en el servicio pueden llevar a la pérdida de ingresos, especialmente para empresas dependientes de servicios en línea.

6.2. Costos Indirectos

  • Daño a la Reputación: Pérdida de confianza de los clientes y socios comerciales.
  • Multas y Sanciones: Posibles sanciones regulatorias si se comprometen datos sensibles o se incumplen normativas de protección de datos.

7. Impacto en la Seguridad

7.1. Vulnerabilidad del Sistema

La presencia de Muhstik revela vulnerabilidades en la seguridad del sistema, como configuraciones incorrectas o falta de actualizaciones, lo que:

  • Expone a Otros Ataques: Otros actores maliciosos pueden explotar las mismas vulnerabilidades.
  • Necesidad de Mejoras de Seguridad: Impulsa a la organización a revisar y fortalecer sus medidas de seguridad.

8. Implicaciones Legales

8.1. Cumplimiento y Regulaciones

El compromiso de datos sensibles puede resultar en:

  • Investigaciones Legales: Obligación de notificar brechas de datos y cooperar con investigaciones legales.
  • Cumplimiento de Normativas: Necesidad de cumplir con regulaciones de seguridad y privacidad de datos, como el GDPR.

9. Impacto Psicológico

9.1. Moral del Personal

  • Estrés y Ansiedad: El personal de TI y seguridad puede enfrentar altos niveles de estrés debido a la presión de resolver la situación.
  • Desconfianza: Pérdida de confianza en las medidas de seguridad actuales y temor a futuros ataques.

Origen y Motivacion

El malware Muhstik, detectado por primera vez en 2018, se origina como una variante del botnet Mirai, conocida por comprometer dispositivos IoT mediante la explotación de vulnerabilidades en aplicaciones web y servicios como Elasticsearch y WebLogic. La motivación detrás de Muhstik es principalmente financiera y operativa; sus creadores buscan obtener beneficios económicos a través de criptominería no autorizada y realizar ataques de DDoS por encargo, al mismo tiempo que expanden su red de dispositivos comprometidos para aumentar su capacidad de ataque y maximizar sus ingresos.